En resumen: Colonial Pipeline son casi 5.500 millas. Es el mayor oleoducto de productos refinados de EE.UU y es la base del consumo de combustible de alrededor del 45% de la Costa Este del país [2]. Va de Houston, en la costa del Golfo en Texas, hasta el área metropolitana de Nueva York. Aunque el ataque de ransomware actual alcanzó a los sistemas de tecnología de la información (IT) de Colonial, la empresa, como medida de precaución, bloqueó sus sistemas de tecnología operativa a raíz de la incertidumbre generada durante las primeras horas del ataque. [3]
Hoy en día es el caso en que la mayoría de los ataques de ransomware impactan sobre los sistemas de IT, a diferencia de los sistemas de tecnología operativa. Si bien los expertos en ransomware observan un incremento de los ataques contra los sistemas de control industrial, un punto crítico a resaltar aquí es que muchos de los sistemas no cuentan con una alta conectividad entre el sector de IT y el de control operativo.
El Darkside: víctima de la paradoja de la publicidad
Dentro del mundo del ransomware, el anonimato es uno de los activos más preciados. El Darkside, un grupo de hackers cibercriminales y visto por muchos como uno de los que posiblemente haya producido el malware utilizado en el ataque contra Colonial Piapeline, ve a los ransomwares como un negocio. Cybereason, la plataforma de defensa de ciberseguridad, estima que su malware ha sido utilizado para extorsionar a más de cuarenta víctimas, a las cuales les han demandado entre $200 mil y $2 millones [4]. Sin embargo, son conscientes de que su “reputación”, al declarar públicamente que no apuntarán contra los sistemas de salud, escuelas o empresas de las cuales creen que no podrán pagar rescates [5].
Durante la pandemia de la Covid-19, el cloud computing y el concepto de "Software como servicio" (SaaS) han proliferado. Al Darkside se lo está viendo como un jugador de "Ransomware como servicio", al ofrecer su software en préstamo a las organizaciones criminales. [6]
La estrategia más redituable y de largo plazo para Darkside, es permanecer en las sombras. Como resultado, el ataque a Colonial Pipeline ha despertado el accionar unificado del Departamento de Justicia de EEUU y la administración Biden, haciendo del "Darkside" un nombre casi familiar.
Pagar o no pagar: esta es la pregunta crucial del ransomware
Generalmente, el consejo de la Oficina Federal de Investigaciones (FBI) suele ser de “nunca pagar”. Si todas las víctimas siguieran a rajatabla esta postura, sería imposible que un atacante de ransomware ganase dinero. Los atacantes de ransomware tienen una postura extrañamente racional en el sentido que, si bien pueden poner contra las cuerdas a muchas víctimas, es mucho más probable que los objetivos de ataque se hayan estudiado más pormenorizadamente. ¿Por qué? Es que, para hacer el esfuerzo, las organizaciones cibercriminales prefieren hacerlo a lo grande de modo tal de asegurarse al máximo posible la probabilidad de pago.
En el caso de Colonial Pipeline, su CEO optó por pagar un rescate de aproximadamente 75 bitcoins, valorados en ese momento en aproximadamente 4,4 millones de dólares [7]. Dependiendo de las circunstancias, es posible que el no pago provoque meses de interrupciones del servicio y una posibilidad acotada de recuperar ciertos datos. Si bien pagar no siempre garantiza que el resultado sea favorable, cada empresa debe abordar esta decisión a su manera.
En todos los casos, se recomienda que las víctimas de ransomware trabajen con una firma experta, como, por ejemplo, FireEye, y que también notifiquen al FBI de su situación.
¿Cuál es más anónimo entre el Bitcoin y el efectivo para los propósitos criminales?
Cuando se publicó el documento técnico de Satoshi Nakamoto, presentando Bitcoin al mundo, el anonimato fue una de las virtudes ampliamente promocionadas de la criptomoneda naciente en ese entonces. Es posible que esto aplicara más en los primeros tiempos de Bitcoin que en la actualidad. Los participantes del mercado entienden ahora que, si el anonimato es el deseo crítico, otras criptomonedas pueden exceder las capacidades de Bitcoin en esta área. Los expertos han indicado que las transacciones en la cadena de bloques crean “migas de pan digitales” que las autoridades pueden seguir [8].
En el caso del ataque a Colonial Pipeline, las autoridades confiscaron aproximadamente 64 de los 75 bitcoins. Esto significa que pudieron rastrear las actividades específicas en cadena relacionadas con el ataque, encontrar la billetera digital asociada con el Darkside y posteriormente obtener las claves públicas y privadas apropiadas para realizar la incautación. Si bien los detalles detrás de cada paso de este proceso no se han publicado, es notable que todo esto haya sucedido aproximadamente un mes después del ataque inicial y el pago [9].
Ciberseguridad: la mega tendencia que todos deben considerar
Las mega tendencias se están creando todo el tiempo. Algunas persistirán y sobrevivirán, mientras que otras no. Sin embargo, considere un escenario en el que una empresa prefiere no enfocarse en la inteligencia artificial (IA). Si bien podemos tener nuestras reservas al respecto, al final, puede ser el caso en el que la IA tiene solamente un valor acotado dependiendo de cada contexto. Ahora, en cambio, considere una empresa que dice que prefiere no enfocarse en la ciberseguridad, lo que, irónicamente, llevaría a preguntarse si utiliza ordenadores, el correo electrónico o una red. Si bien el no centrarse en la IA podría ser un debate entendible, el no centrarse en la ciberseguridad representa un riesgo empresarial grave. Por más de que no sea posible saber qué servicios utilizarán las empresas, sí sabemos que la falta de foco es irresponsable, por no decir inclusive imprudente.
Es importante mantener el siguiente panorama presente:
La firma de defensa de ciberseguridad Mandiant señala que la frecuencia de respuesta de ransomware, se ha incrementado 10 veces entre 2018 y 2020 [10].
Asimismo, ha informado que las demandas extorsivas promedio han estado entre los $250 mil y $50 millones [11].
Los resultados de Mandiant indican que 1 en 10 empresas quedan forzadas a cerrar una vez que son víctimas de un ataque de ransomware [12].
Se estima que para 2023, los ingresos de las Infraestructuras como servicios (IaaS) y las Plataformas como servicios (PaaS) se ubiquen en el entorno de los $217,7 mil millones a medida que se generalizan a una escala enorme las prácticas de cloud computing. Sin embargo, para el mismo período, se estima que el Gasto en Seguridad de la Nube Híbrido Mundial se sitúe en alrededor de $2 mil millones. No se debe olvidar que la seguridad en la nube es una frase que viene a la mente a raíz de esta estadística [13].
En este 2021, el alinear una tesis de inversión con la expansión de la ciberseguridad podría llegar a ser una gran propuesta.
[1] Fuente: Greenberg, Andy. “El hackeo a Colonial Pipeline es el nuevo extremo para el ransomware.” WIRED. 8 de mayo de 2021.
[2] CNBC, al 8 de mayo de 2021.
[3] Fuente: Eaton, Collin & Dustin Volz. “El ciberataque a un oleoducto estadounidense fuerza el cierre.” Wall Street Journal. 8 de mayo de 2021.
[4] Nasdaq, al 20 de junio de 2021
[5] Hay Newman, Lily. “El ransomware de DarkSide golpeó a Colonial Pipeline—y creó un lío profano.” WIRED. 10 de mayo de 2021.
[6] WIRED, 10 de mayo de 2021.
[7] Fuente: Eaton, Collin. “El CEO de Colonial Pipeline CEO explica por qué ha pagado un rescate de $4,4 millones.” Wall Street Journal. 19 de mayo de 2021.
[8] Fuente: Peroth et al. “La investigación del oleoducto pone fin a la idea de que Bitcoin no se puede rastrear.” New York Times. 9 de junio de 2021.
[9] New York Times, 9 de junio de 2021.
[10] Fuente: Presentación corporativa de FireEye 2021.
[11] Fuente: Presentación corporativa de FireEye 2021.
[12] Fuente: Presentación corporativa de FireEye 2021
[13] Fuente: Análisis corporativo de Crowdstrike, marzo de 2021.